Uma nova campanha de ameaças foi descoberta por pesquisadores de segurança cibernética da Sucuri, na qual os invasores estão usando pop-ups falsos de proteção DDoS da Cloudflare para distribuir malware.
De acordo com as descobertas da Sucuri, o ataque começa com JavaScript malicioso que tem como alvo sites WordPress. Os usuários são induzidos a baixar malware que leva ao sequestro de seus dispositivos.
A vítima baixa inadvertidamente um trojan de acesso remoto (RAT), que foi sinalizado por pelo menos treze fornecedores de segurança até agora.
Como ocorre o ataque?
Os pesquisadores notaram que os invasores hackeiam sites WordPress mal protegidos e adicione uma carga JavaScript ofuscada. Essa carga exibe uma página falsa de proteção contra DDoS. O visitante é solicitado a clicar em um botão para ignorar a tela de proteção contra DDoS, mas quando clicado, ele baixa um arquivo para o computador (‘security_install.iso).
Em seguida, o visitante é solicitado a abrir este arquivo, que finge ser um aplicativo DDOS GUARD. Há um código que a vítima deve inserir e outro arquivo aparece (security_install.exe). Este arquivo é um atalho do Windows que executa um comando do PowerShell do arquivo Debug.txt. Vários outros scripts são executados e o código DDoS falso é exibido.
No entanto, em segundo plano, o NetSupport RAT está instalado. Este RAT é comumente e amplamente usado em campanhas de malware hoje em dia. Os scripts maliciosos também baixam o Raccoon Stealer 2.0 – um trojan para roubo de senha.
Página falsa da Cloudflare soltando malware
Este malware rouba cookies, senhas, informações de cartão de crédito, dados de preenchimento automático, e uma ampla variedade de carteiras de criptomoedas. Ele também pode executar exfiltração de arquivos e capturas de tela da tela da vítima. Sobre as possíveis ameaças/perigos desta campanha, eis o que os pesquisadores escreveram em seu relatório:
“O computador infectado pode ser usado para furtar redes sociais ou credenciais bancárias, detonar ransomware ou até prender a vítima em uma rede nefasta de ‘escravo’, extorquir o proprietário do computador e violar sua privacidade – tudo dependendo sobre o que os invasores decidem fazer com o dispositivo comprometido.”
O que são páginas de proteção contra DDoS?
Você pode encontrar páginas de proteção contra DDoS com frequência enquanto navega na web. Essas páginas estão vinculadas a serviços WAF/CDN que realizam verificações de desempenho do navegador e verificam se o visitante do site é um humano, um bot ou faz parte de um ataque DDoS.
Essas páginas geralmente não afetam os usuários, pois eles realizam uma simples verificação ou solicitam um teste de habilidade antes de prosseguir para o site/página da Web desejado. Mas, na campanha recentemente descoberta, injeções de JavaScript são usadas em sites WordPress para criar pop-ups falsos de proteção contra DDoS.
Como Fique protegido?
Os administradores do site devem sempre verificar os arquivos de tema de seus sites WordPress porque este é o recurso mais amplamente explorado nesta campanha e atualizar regularmente o software, usar 2FA e senhas fortes, e implantar um firewall.
Além disso, é essencial usar um sistema de monitoramento de integridade de arquivos, pois ele pode capturar rapidamente injeções de JavaScript e evitar que o site se torne um ponto de distribuição de malware.
Por outro lado, os usuários devem habilitar configurações estritas de bloqueio de script no navegador e ter em mente que eles não precisam baixar arquivos ISO como procedimentos anti-DDoS.
